Троян, загрузка цп

Printable View

12.09.2011, 15:46
Energoprom

Вложений: 1

Троян, загрузка цп

Здравствуйте!

На компьютер был пойман банер-блокиратор рабочего стола, перед этим антивирус Microsoft Security Essentials выдал предупреждение о наличии вируса-трояна и очистил его.
После перезагрузки в безопасном режиме и проверки компьютера сначала антивирусом Microsoft Security Essentials, а потом DrWeb Cureit, было обнаружено несколько троянских программ, которые были очищены.
После перезагрузки в обычном режиме, было обнаружено, что процесс svhost стал потреблять 100% процессора.

Спасибо!
12.09.2011, 15:46
Info_bot

Уважаемый(ая) [B]Energoprom[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
12.09.2011, 18:42
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\system32.exe','');
DeleteFile('C:\WINDOWS\system32\Drivers\system32.exe');
BC_ImportAll;
ExecuteSysClean;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
13.09.2011, 09:06
Energoprom

Вложений: 2

Карантин отправил, скрипты выполнил.

Кроме этого неожиданно отвалился антивирус Microsoft и теперь при входе в систему выдает ошибку. Удалить при помощи установка и удаление программ не получилось, при этом он продолжает висеть в исполняемых задачах.
Попробую его вычистить окончательно и заменить на Нод32.

Спасибо.
13.09.2011, 10:09
Energoprom

Вложений: 2

При загрузке системы бывший антивирус выдает ошибку, а установка нового антивируса невозможна так же из-за двух ошибок.
Прилагаю скриншоты ошибок.
13.09.2011, 20:26
polword

- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
14.09.2011, 08:55
Energoprom

Вложений: 1

Лог добавлен.
14.09.2011, 19:40
polword

- [URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]удалите[/URL] в [B]MBAM[/B]
[CODE]
Зараженные ключи в реестре:
HKEY_CURRENT_USER\Software\winxarj (Hoax.ArchSMS) -> No action taken.

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.

Зараженные папки:
c:\documents and settings\Admin\application data\archsoft (Trojan.Agent) -> No action taken.

Зараженные файлы:
c:\documents and settings\admin\главное меню\программы\автозагрузка\igfxtray.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{8491898d-d87a-42e3-80fb-067371926e77}\RP230\A0051383.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\archsoft\rubashka.css (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\archsoft\sb-scroll-slider.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\archsoft\bander.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\archsoft\dir.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\archsoft\dot.gif (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\archsoft\htmlayout.dll (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\archsoft\logo.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\archsoft\logo2.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\archsoft\sb-h-scroll-next.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\archsoft\sb-h-scroll-prev.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\archsoft\sb-scroll-back.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\archsoft\sb-scroll-base.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\archsoft\sb-v-scroll-next.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\archsoft\sb-v-scroll-prev.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\archsoft\scroll.css (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\archsoft\wfont.ttf (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\archsoft\_todel.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\archsoft\_todel2.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\archsoft\_todel3.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\archsoft\_todel4.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\archsoft\_todel5.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\archsoft\_todel6.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\archsoft\_todel7.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\archsoft\_todel8.png (Trojan.Agent) -> No action taken.

[/CODE]
- Сделайте повторный лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
15.09.2011, 09:12
Energoprom

Вложений: 1

Ошибка при входе в систему, скриншот которой я приложил, осталась.
Лог прилагаю.
15.09.2011, 18:07
миднайт

virusinfo_[B]SYScure[/B].zip‎ лог приложите.
16.09.2011, 10:58
Energoprom

Вложений: 1

Прилагаю лог
16.09.2011, 18:09
миднайт

Ничего вредоносного в логе нет.
19.09.2011, 08:43
Energoprom

Спасибо
20.09.2011, 08:43
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]18[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\system32.exe - [B]Trojan-Ransom.Win32.PornoBlocker.acdl[/B] ( DrWEB: Trojan.Winlock.3206, BitDefender: Trojan.Generic.6660047, NOD32: Win32/Delf.QAI trojan, AVAST4: Win32:Delf-QSA [Trj] )[/LIST][/LIST]